Метка «взлом» - 20

image

Сегодня с утра обнаружил в почтовом ящике письмецо:

Dear Formspring user,

For security reasons, we have disabled your password and ask that you reset it. When you log back into Formspring, you will be prompted to change your password.

Thank you for taking the time to reset your password.

The Formspring Team

Как оказалось, это не просто «соображения безопасности». Вслед за LinkedIn и last.fm, с формспринга слили почти пол миллиона паролей.

Читать полностью »

Взлом хэшей на PHDays 2012: конкурс Hash Runner
На PHDays 2012 было много сугубо технических, интересных, зрелищных конкурсов, но один из них прошел практически незаметно для посетителей форума: это был Hash Runner, участники которого занимались взломом хэшей.

На подобных соревнованиях сохраняется, как правило, господства ряда отдельных команд: Hashcat, Inside Pro, john-users… И не удивительно, поскольку это сообщества разработчиков, тестировщиков и пользователей, использующих наиболее популярные инструменты для взлома хэшей. Секрет успеха — не только в огромном опыте, хорошо подготовленных командах и доступе к внушительным вычислительным ресурсам, но и в возможности «на лету» модифицировать инструментарий — в зависимости от текущих потребностей.

Вышеперечисленные команды приняли активное участие в конкурсе Hash Runner на PHDays 2012. Два дня участники сражались за главный приз — видеокарту AMD Radeon HD 7970 (конкурс стартовал в 10:00 30 мая и закончился в 18:00 31 мая).Читать полностью »

Как воровать бензин с помощью Ассемблера (основано на реальных событиях)

Приветствую тебя, хабрачитатель!

Под катом ты найдешь увлекательную историю, которую рассказчик поведает нам от первого лица. Я лишь с гордостью публикую впервые эту историю здесь, с разрешения и по просьбе автора, который пожелал остаться неизвестным.

Читать полностью »

В данной статье приведены простые рекомендации по безопасности PHP прежде всего для начинающих программистов.
Читать полностью »

Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)

Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »

Так как я абитуриент в этом году, мне пришлось просмотреть несколько сайтов российских ВУЗов и определиться, куда поступать.

Примечание: ВУЗ, о котором пойдет речь, я упоминать не буду, ибо ошибки пока не устранены, хотя письма администраторам информирующие их об уязвимостях разосланы.

Через некоторое время, когда сайты были осмотрены, тексты с зазываниями по типу «какой у нас классный ВУЗ» прочитаны, и решение было принято, я решил проверить, как у выбранного университета с безопасностью.

Полазив по сайту, получив порцию информации, по разглядывая фотографии, я заметил, что все ссылки имеют одинаковый формат: xxx.ru/?id=46&group=xxxx. По старой привычке подставив кавычку в параметры я ничего толком не обнаружил, новость/статья/контент как выводились, так и выводятся. Никакой SQL инъекции в радиусе сайта не наблюдалось. Очень неплохо.

И тут я уже было хотел покинуть сие чудо дизайнерской мысли, как вдруг мне стало интересно, а что же с другими сайтами университета?

Все ли так хорошо у них? Я предполагал всего-лишь небольшой аудит безопасности, а вышло нечто большее.

Читать полностью »

Хроника событий:

В ходе конкурса NUllcon CTF который проходил в январе этого года, участниками была обнаружена новая уязвимость в PHP, связанная с работой интерпретатора в режиме CGI. Explot-db пополнился эксплойтом к данной уязвимости 5 мая. Уязвимость позоляет атакующему, выполнить произвольный код на стороне сервера, тем самым получив полный контроль на ним.

Читать полностью »

Со времен введения стандарта SIP (Session Initiation Protocol) разработанногo Хенингом Шулзри и Марком Хэндли в 1996 году, инфраструктура SIP разрослась и опутала весь мир своей сетью. SIP — один из протоколов, лежащих в основе VOIP.
SIP используется для передачи как голоса так и видео. Основные клиенты это физические, юридические лица и корпорации, которые испоьзуют SIP как для звонков по миру так и для внутренней связи. Синхронизация элементов SIP сети происходит на 5060 порту, либо на 5061 с использованием шифрования. SIP хост работает как прокси сервер, он принимает запросы от клиентов, обрабатывает и выполняет соответствующие действия. Для авторизации на SIP сервере используется пара логин/пароль, которые обычно имеют цифровое значение. А сам SIP хост выглядит как IP:5060
Чтобы воспользоватся прелестями этого протокола, вам необходимо обнаружить и хакнуть парочку шлюзов. Для этого вам понадобится пакет SIPVicious и интерпретатор Python. Либо дистрибутив Backrack в котором эти утилиты уже установлены.
Читать полностью »

В своем последнем послании, Anonymous утверждают, что взломали статистическую базу данных Министерства Юстиции США включающий в себя дамп базы данных и личные переписки. United States Bureau of Justice Statistics занимается сбором и анализом преступлений. Пока рано говорить какие интересные факты там могут быть обнаружены.

Ссылка на торрент

Заявление Anonymous:

<iframe width="640" height="360" src="http://www.youtube.com/embed/2oEo3OC75yY" frameborder="0" allowfullscreen></iframe>

«Today we are releaseing 1.7GB of data that used to belong to the United States Bureau of Justice [Statistics], until now.
Читать полностью »

Яндекс.Почта. Предотвращение хакострофы В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js